手机网站
手机网站
据央视报道,2019年底,江苏淮安警方严厉打击了7家涉嫌侵犯公民个人信息罪和非法缓存1亿多条公民个人信息的公司。在
199中,拉卡拉向考拉信用局支付了超过9800万次非法提供身份证折扣查询的费用,收入3800万元。一个隐藏的身份信息非法验证链随即浮出水面
“身份信息验证折扣”是指通过输入公民姓名和身份证号码获取身份证照片的方式,属于身份信息验证。
最早的身份信息验证服务是由2001年成立的全国公民身份证号码查询服务中心提供的,该中心在与公安部数据库比较后返回“一致”或“不一致”的结果。
如今,无论您是在处理手机卡、住酒店、购买火车票还是注册应用程序帐户,您要么需要输入您的手机号码和手机短信验证码,要么需要输入您的姓名和身份证号码。所有这些信息都是为了验证身份信息,以证明“你就是你”
随着实名认证的普及,公安部以外的其他政府部门、金融机构甚至互联网公司都有可能收集到大量的公民信息。身份信息的验证市场变得越来越复杂。它不再是一个单一的“企业”,而是逐渐发展成一个灰色地带。
需求激增
需求短缺产生复杂的中间市场
NCIC成立于2001年,是最早的身份信息验证服务提供商
人在电信营业厅、银行等机构办理业务时需要出示身份证件。然后将姓名、身份证号码等数据传输到公安部“全国人口信息社会应用平台”进行比对,并返回“一致”或“不一致”的比对结果。
据官方网站介绍,这项服务覆盖政府部门和10多个行业的用户,包括银行、保险、证券、汽车金融、消费金融、互联网支付、信用报告、电子商务、通信、物流、人力资源等。然而,据杜南记者了解,真正能够进入查询界面的企业并不多——一些业内人士曾估计,全国只有几十家企业。
中国银联“身份证信息认证与查询”业务负责人向杜南记者表示,原则上只有各行各业的公共机构或持照机构可以使用,门槛极高,查询界面的操作时间只有5*8小时,查询次数有限。
但不可忽视的是,身份信息验证市场的规模正在快速增长。来自
“2018年互联网及相关服务行业的经济运行”的数据显示,包括游戏和社交活动在内的八大类应用已被下载超过1000亿次。
以游戏为例。根据《中国互联网发展统计报告》,2018年游戏用户数量为4.84亿假设每个用户平均注册两个游戏,验证身份信息的次数将达到每年近10亿次。
据前瞻性行业研究所发布的《中国身份认证信息安全产业及前景预测分析报告》统计,2018年中国网络身份认证信息安全产业市场规模将达到132亿元,2022年将接近300亿元
,一方面是不到100家企业拥有身份信息验证接口,另一方面,市场需求存在一百亿量级的巨大缺口。近年来国家信息中心收费标准的变化也可能证明身份信息验证市场的需求供不应求。
2 017年,国家发展和改革委员会决定取消政府定价的公民身份认证服务收费。具体收费标准由NCIIC和用户商定。
2年7月,国家信息中心宣布取消公民身份信息验证服务的收费,并取消通过合作伙伴提供公民身份信息验证服务的模式。NCIIC将为通过合作伙伴使用公民信息认证服务的用户提供免费认证服务。
,也就是说,NCIIC今后只直接向符合资质要求的用户提供免费的身份信息验证服务,不再设立代理机构间接提供服务。NCIIC还告诉媒体,取消收费后,许多组织都在排队,访问时间无法确定。
然而,在过去的十几年里,随着实名制的普及,新的“玩家”不断涌现。上游查询接口提供商和下游企业之间早已形成了复杂的中间市场。公安部不再是唯一的一个,其他有能力合法保留大量公民信息的政府机构、运营商、银行和大型互联网企业也加入了这场“战争游戏”
“许多组织都有身份证号码、电话号码和姓名”。一位在运营商工作的专家告诉杜南记者,比如12306、人力资源和社会保障部,以及医疗单位和婚姻登记处,“其实有很多数据来源。”
此外,身份认证方法已经从身份证的基本两要素逐步扩展到操作者的三要素、银行卡的三要素和银行卡的四要素,这也可以与人脸识别结合使用。超过
数据接口服务提供商指出,最上游的身份信息验证接口通常来自公安系统、运营商和银联
多级链
距离数据源越远,查询价格越低。
以银联身份证信息认证查询业务为例官方网站
银联开放平台表示,该产品可直接从公安部获取实时数据,并拥有三大运营商的银行卡和数据资源,可与银行卡验证和运营商验证并行使用。总体验证成功率为99.997%,系统响应速度平均为450毫秒。
“您需要的是银行卡验证,您可以使用银联信息;如果你需要检查你的身份证,你应该去公安部。上述银联业务负责人表示,与NCIIC的5*8小时服务相比,银联提供7*24小时服务,最低价格约为每次查询20美分。
何透露,银行、证券、保险、政府机构和一些大型互联网公司主要连接银联接口,一些非常小的应用可能会找到银联代理。
谈到了银联的优势,称“它会更便宜”,因为二级数据代理“可能有一些溢价”但是杜南记者发现事实并非他所说的那样。
上述银联业务负责人在杜南告诉记者,银联“很少直接扩张”,除非客户直接打电话询问,否则银联合作伙伴在大多数情况下都会扩张。
国有数据资产增值运营服务提供商“数据宝”也在智虎回复称,公安系统的官方渠道“基本上不作为直接客户”,而是通过授权服务提供商对外提供——数据宝就是其中之一。为了获得官方授权,服务提供商必须有一个有信息保证的安全系统。
辅助数据代理没有第一手数据。收到验证要求后,他们将提交给最上游的官方数据源,并将收到的比较结果返回给客户由于公安系统、运营商和银联之间的合作门槛普遍较高,因此这些二级数据代理在市场上最为活跃。
数据技术服务提供商“聚合数据”在人口中扮演上述银联业务作为二级“数据代理”的角色
汇总数据客服告诉杜南记者,身份验证的数据来源主要是公安部。他表示:“这相当于我们把数据汇总成一个中转站,向公安部发出呼吁,然后得出‘一致’或‘不一致’的结果。”。"我们相当于一个赚取差价的中间人."
汇总数据官方网站显示,如果一次性购买的咨询数量达到4万,价格可能低至每笔购买20美分。如果咨询数量达到10万,客服说每次可以便宜10美分。
值得注意的是,上述银联业务负责人推测的“溢价”并未出现,甚至购买聚合数据接口也更便宜。
的类似情况也发生在下游数据接口服务提供商中。数据接口服务提供商(如
)通常不具备直接连接到主要渠道的资格,但它们的优势在于能够灵活调整解决方案,以满足不同行业终端用户的不同应用场景。因此,它们在辅助数据代理和最终用户之间充当“n个经销商”,因此查询界面是逐层传递的。
虽然NCIIC在“接口介绍”中被称为实时联网,但数据接口服务提供商的销售人员透露,“我们正在与上游商业公司合作,他们直接与公安系统连接。”根据该声明,数据返回路径应为:公安部-上游商业公司-数据接口服务提供商-用户根据常识,
分两个阶段传输大大降低了系统的响应速度,但他说“一般可以在100毫秒左右完成”,因为“我们在优化服务器方面做得更好。”除了更快的响应速度之外,
还比该数据接口服务提供商的“身份证验证”服务的聚合数据更便宜。只要一次购买的咨询次数是几万次,你就可以享受每次购买不到20美分的价格。购买超过5万次,最低价格可达到每次13美分。来自杜南的
记者注意到,根据智虎在《数据宝藏》中的回答,如果接口的每个查询花费不到10美分,响应速度超过200毫秒,并且对个人用户开放,那么很有可能非法缓存或交易其他组织缓存的数据
全行业
非法缓存是个人信息公开
所谓“缓存”的来源,是指查询接口提供者在本地存储的身份验证信息这是为什么“理论上,价格越高,系统的响应速度越慢,但事实恰恰相反”的关键
根据法律要求,这些提供商不直接与个人用户交互,也无权存储公民的个人信息。然而,许多提供商会悄悄地缓存数据,然后提供相关的数据服务。当积累的金额足够时,企业可以被描述为“一万美元”
据了解,许多数据接口服务提供商不仅缓存来自上游的数据,还缓存来自下游的数据:当下游提交需要验证的个人信息时缓存;当上游返回的结果是“一致的”时,就相当于拥有了一条真实的数据。
从长远来看,大量真实的公民个人信息将形成一个缓存数据库。在收到验证请求后,数据接口服务提供商只需要直接与缓存数据库中的信息进行比较,如果是,则直接返回结果。如果没有,返回上级数据源进行支付比较。超过
名业内人士告诉杜南记者,缓存“是业内的一种普遍做法”业内人士还估计,目前中国有8亿元人民币的缓存容量市场。
有一个缓存数据库,因此数据接口服务提供商可以节省大量调用上游数据源的费用,从而降低成本并降低向外部世界提供查询接口的价格。然而,大量公民的个人信息未经其许可被非法存储在官方授权渠道之外,个人信息公开的源头也从此开始。
去年,拉卡拉支付公司的子公司考拉信贷局因非法出售从上游公司获得的身份信息查询界面而被检查为非法缓存公民的个人身份信息下游公司通过从考拉信贷局购买查询界面获利,导致大量公民信息的泄露,包括身份证和照片。
是否秘密操作下游公司的默认转售接口?我不知道为什么二级数据代理仍然愿意“冒险”向下游数据接口服务提供商销售接口,因为非法缓存是业内众所周知的“黑灰色产品”。
在这方面,杜南记者谎称他们需要验证身份信息,可能需要与第三方关联公司或合作伙伴共享查询界面,并联系几个二级数据代理。
聚合数据客服表示,与access公司签订的合同肯定会明确表示查询界面不能转售,但至于“对方是否按照合同私下操作与聚合数据无关...例如,如果你买了我的菜刀,然后在街上砍人,你不能责怪我卖菜刀,对吗?”
另一个数据代理用友阿皮亚链接发送合同给杜南记者合同条款明确:“甲方是购买用友应用服务的唯一合法用户,未经乙方书面同意,不得授权任何第三方使用本合同项下的服务。”
但是当《杜南记者》问及是否有可能与第三方共享数据时,用友的商务谈判负责人表示,虽然不鼓励这样做,但即使是用友也无法监控。
,但是,二级数据代理和下游数据接口服务提供商都告诉杜南的记者,他们永远不会缓存数据。
他们还透露,在考拉信用调查事故之后,查询接口的买卖也变得更加紧张——最明显的变化是许多查询接口提供商提高了对接入公司资质的要求
"我们的业务只对部分企业开放有些企业处于灰色地带,我们目前无法合作,比如P2P等等。”用友团长强调道聚合数据的客户服务还提到,只有当发现对方的产品符合要求时,才允许访问。
前面提到的数据接口服务提供商已经收到上游数据接口服务提供商的通知,要求其从2020年起“切断不合格接口”,即不能再向第三方公司提供接口。“我们只能在未来自己使用它,”销售人员说。
从这个角度来看,上游数据代理并非完全不知道接口转售和非法缓存,但他们选择了“视而不见”
随着《中华人民共和国互联网安全法》的颁布和考拉信用调查等金融科技公司的事故,他们可能只会开始正视公民个人信息泄露的可能性。
上述在运营商工作的专家对此深有感触。“事故发生前,许多人在2018年公开出售身份信息查询界面...2019年要少得多,将来也会少得多“
如何监管?
从源头上打开了多条渠道,并规定了访问标准
。虽然引起行业震动的考拉信用调查的调查结果尚未公布,但在已完成的案例中,使用查询界面获取公民个人信息牟利的做法已有先例。
2 017年,被告徐利用车盾技术成立成都有限公司后,从山西圣盾信息技术有限公司等处购买公民个人信息查询接口,查询公民个人信息7万余条,获利17万余元。
法院裁定,切顿公司没有合法依据或正当理由获取公民个人信息,既没有获得公安机关或任何部门的许可,也没有获得有关当事人的授权。因此,两名被告分别被判处三年监禁和一年监禁。
在类似案件中,法院以“非法获取公民个人信息并将其出售给他人”为由做出裁决事实上,目前许多相关的法律法规对此都有规定。《
互联网安全法》第42条规定,未经被收集人同意,不得向他人提供个人信息。第44条规定,任何个人或组织不得窃取或以其他方式非法获取个人信息,或非法向他人出售或非法提供个人信息
根据《最高人民法院、最高人民检察院关于办理公民个人信息刑事案件适用法律若干问题的解释》,违反国家有关规定,通过购买、接受、交换等方式获取公民个人信息的。,或者在履行职责和提供服务过程中收集公民个人信息,是“非法获取公民个人信息”
199多位专家告诉杜南记者,目前法律对谁有资格提供身份信息验证服务的规定并不明确,但如果各级数据服务提供商都能做到合规,就不一定会导致个人信息泄露。问题在于“非法缓存”公民个人信息以获取利润的行为。
“界面本身实际上只是提供咨询服务的一种方式,并没有被法律禁止,”国际经济贸易大学数字经济与法律创新研究中心的执行主任表示。“此外,数据本身是由用户提供的,公安部只回答是或否,没有数据传输”
何表示,数据服务提供商和最终用户之间没有直接关系。根据客户指定的目的,在身份验证后应删除数据。他无权长期存储数据或将其用于其他目的。个人信息泄露的,由企业承担责任。
谈接入企业数据接口服务提供商的监管责任。上海财经政法学院院长傅伟刚认为,双方应根据《互联网安全法》签署严格的协议,以确保数据不会被广泛泄露。数据接口服务提供商还应该具备某些安全技术,以确保接口不会被盗。
查询接口层层切换,数据接口服务提供商资质参差不齐,非法缓存无人监管,给公民个人信息泄露埋下了巨大隐患。如何监管如此混乱的身份信息验证市场?
许可证认为身份信息属于公共数据,身份信息验证是国家提供的基本服务,不应交给第三方运营或收费。在目前免费的基础上,公安部等一流渠道可以设立准入标准,允许合格企业在不设代理的情况下进入。在
接入企业的数量发布后,考虑到不同应用场景可能需要产生开发成本,或者可能导致数据源端口的流量拥塞,可以适当收取费用。这时,许多企业或机构会相互竞争,以免形成垄断,价格会更合理。
傅伟刚还建议,可以从数据源打开多种渠道,将纵向的身份信息验证链改为横向的,这样其他有资质、有能力的机构和企业就可以利用手中的资源,从而降低价格,而不是一层一层地增加代码,衍生出“并排”
从数据安全监管的角度来看,中国信息安全研究院副院长左晓东指出,目前的监管还很肤浅,技术分析能力不足,无法有效发现非法缓存等违规行为,但这并不意味着未来不可能。他建议下一步的监管应该深入到企业具体的内部行为和后台行为。来自
:记者姜林
